Лабораторная работа №1
.docxМИНОБРНАУКИ РОССИИ
Федеральное государственное бюджетное образовательное учреждение
высшего образования
"Костромской государственный университет"
(КГУ)
Институт «Высшая ИТ-школа»
Кафедра защиты информации
Направление 10.03.01 - Информационная безопасность,
профиль Организация и технология защиты информации
Лабораторная работа №2
Идентификация, аутентификация, авторизация. 3 вариант.
Выполнил______________ Владимиров Петр Алексеевич
гр. 22-ИБбо-6
Проверил_______________ Потафеев Семен Алексеевич
Кострома 2025
Задание на лабораторную: Разработать модель жизненного цикла учётной записи, охватывающую этапы создания, изменения прав, блокировки и удаления; дополнить анализ инцидентами, возникающими при нарушении цикла; определить контрольные точки (HR, руководитель, служба ИБ, администратор) и метрики эффективности, представив процесс в виде схемы.
Схемы жизненного цикла УЗ
Создание учетной записи;
Рис. 1. Схема создания УЗ в организации
Инциденты, которые теоретически могут возникнуть в данном бизнес-процессе:
Создание учетной записи без заявки;
Назначение избыточных прав;
Несвоевременное создание.
Изменение прав учетной записи;
Рис. 2. Схема изменения прав УЗ
Инциденты, которые теоретически могут возникнуть в данном бизнес-процессе:
Добавление избыточных прав;
Удаление нужных прав.
Временная блокировка/приостановка учетной записи;
Рис. 3. Схема блокировки/приостановки УЗ
Инциденты, которые теоретически могут возникнуть в данном бизнес-процессе:
Несвоевременная блокировка при увольнении/отпуске;
Ошибочная блокировка;
Отсутствие уведомления сотрудника;
Удаление учетной записи.
Рис. 4. Схема удаления УЗ
Инциденты, которые теоретически могут возникнуть в данном бизнес-процессе:
Несвоевременное удаление;
Удаление без архивации данных;
Удаление активного пользователя по ошибке.
Критические точки
HR – фиксирует кадровые изменения;
Руководитель – заказывает доступы, согласовывает их;
Отдел ИБ – согласование доступов;
Администратор – техническая реализация заявок;
Метрики эффективности
Скорость:
- SLA на создание УЗ;
- SLA на удаление УЗ;
- Время реакции на инциденты.
Качество:
- Количество инцидентов, связанных с неактуальными УЗ;
- Уровень соответствия принципу минимальных привилегий;
- Доля выявленных излишних прав при аудитах.
Безопасность:
- Количество несанкционированных изменений прав;
- Количество нарушение SoD.
Контрольные вопросы:
1. Раскройте содержание и определите сущность трёх последовательных стадий управления доступом: идентификации, аутентификации и авторизации. Ответ:
Идентификация – это представление пользователя системе, заявка на свою личность (например, ввод логина, номера карты, ID). На этом этапе система знает кто хочет войти, но ещё не подтверждает, что это действительно он;
Аутентификация – проверка подлинности личности пользователя, доказательство, что он действительно тот, за кого себя выдаёт (например, пароль, отпечаток пальца, токен);
Авторизация – предоставление прав и разрешений в соответствии с ролью или атрибутами аутентифицированного пользователя (например, доступ к папкам, приложениям, данным).
2. Какие практические требования предъявляются к идентификаторам в информационных системах? Ответ:
Уникальность в рамках системы;
Невозможность дублирования или коллизий;
Устойчивость к угадыванию (например, не использовать простые логины типа user1);
Достаточная длина и разнообразие символов (для сложных ID);
Независимость от личных данных (например, не использовать номер паспорта напрямую);
Возможность централизованного администрирования и контроля.
3. Охарактеризуйте четыре классических типа факторов аутентификации. Ответ:
1) Что знает пользователь (knowledge) – пароль, PIN, ответ на секретный вопрос;
2) Что имеет пользователь (possession) – токен, смарт-карта, ключ, мобильное устройство;
3) Кем является пользователь (inherence) – биометрия: отпечатки пальцев, лицо, радужка глаза, голос;
4) Что делает пользователь / где он находится (behavior / location) – поведенческая биометрия (почерк, скорость набора текста) или геолокация.
4. В чём заключается принципиальное отличие двухфакторной (2FA) и многофакторной (MFA) аутентификации? Ответ:
2FA (двухфакторная аутентификация) – используется два разных фактора из перечисленных групп (например, пароль + SMS-код).
MFA (многофакторная аутентификация) – используется два и более факторов, при этом может быть три и больше (например, пароль + смарт-карта + отпечаток пальца).
5. Какие преимущества обеспечивают беспарольные методы аутентификации? Ответ:
Нет риска утечки или угадывания пароля (снижение фишинга и атак перебора);
Удобство для пользователя (нет необходимости запоминать сложные комбинации);
Повышенная безопасность при использовании биометрии, токенов или криптографических ключей;
Снижение затрат на поддержку (меньше обращений “забыл пароль”).
6. Какие показатели применяются для оценки эффективности биометрических систем? Ответ:
FAR (False Acceptance Rate) – вероятность ложного допуска (ошибочное признание чужого за своего).
FRR (False Rejection Rate) – вероятность ложного отказа (отклонение доступа законному пользователю).
EER (Equal Error Rate) – точка, где FAR = FRR, служит обобщённым показателем качества системы.
Время отклика системы – скорость идентификации/аутентификации.
Устойчивость к атакам (spoofing) – способность противостоять подделкам (например, фотография вместо лица).
7. Опишите архитектурные компоненты системы контроля доступа. Ответ:
Субъект – пользователь или процесс, инициирующий запрос;
Объект – ресурс, к которому требуется доступ (файл, база, сервис);
Механизм идентификации и аутентификации – подтверждает личность субъекта;
Политики доступа – правила, определяющие, кто и к чему имеет право;
Система принятия решений (PDP – Policy Decision Point) – принимает решение о допуске;
Система исполнения решений (PEP – Policy Enforcement Point) – реализует контроль доступа (разрешает/блокирует);
Логирование и аудит – фиксация действий для контроля и расследований.
8. Сравните дискреционную, мандатную, ролевую и атрибутную модели авторизации.
Модель |
Принцип |
Преимущества |
Недостатки |
Дискреционная |
Доступ определяется владельцем ресурса |
Гибкость, простота |
Риск утечек, нет централизованного контроля |
Мандатная |
Доступ определяется метками безопасности и политиками, независимыми от владельца |
Высокая безопасность, централизованный контроль |
Неудобство для динамичной среды |
Ролевая |
Доступ назначается по ролям |
Удобно при большом числе пользователей, централизованное управление |
Требует правильного проектирования ролей, не гибка в динамических ситуациях |
Атрибутная |
Решение на основе набора атрибутов субъекта, объекта и контекста |
Максимальная гибкость, подходит для облаков и распределенных систем |
Сложность настройки, требует мощной системы правил |
